Mua bán dữ liệu cá nhân có thể bị phạt tới 10 lần khoản thu, tối đa 3 tỷ đồng

Phát biểu tại buổi họp báo, Thứ trưởng Bộ Công an Lê Quốc Hùng nhấn mạnh: Luật được xây dựng với mục tiêu đảm bảo tính khả thi và hiệu quả trong việc ngăn chặn, xử lý các hành vi vi phạm pháp luật liên quan đến dữ liệu cá nhân. Theo đó, nhiều hành vi bị nghiêm cấm, đặc biệt là những hành vi phổ biến, nghiêm trọng như: Xử lý dữ liệu cá nhân nhằm chống lại Nhà nước; Lợi dụng danh nghĩa bảo vệ dữ liệu cá nhân để thực hiện hành vi vi phạm pháp luật; Sử dụng trái phép dữ liệu cá nhân của người khác hoặc cho người khác sử dụng dữ liệu của mình trái pháp luật; Chiếm đoạt, làm lộ, làm mất dữ liệu cá nhân; Mua bán dữ liệu cá nhân (trừ trường hợp pháp luật có quy định khác).

Mua bán dữ liệu cá nhân có thể bị phạt tới 10 lần khoản thu, tối đa 3 tỷ đồng.

Mức xử phạt nghiêm khắc

Luật quy định rõ các hình thức xử lý vi phạm bao gồm xử phạt hành chính, truy cứu trách nhiệm hình sự, và bồi thường thiệt hại theo mức độ vi phạm.

Cụ thể: Đối với hành vi mua bán dữ liệu cá nhân, mức phạt tối đa lên tới 10 lần khoản thu từ hành vi vi phạm. Nếu không xác định được khoản thu hoặc khoản thu dưới 3 tỷ đồng, mức phạt tối đa là 3 tỷ đồng. Chính phủ sẽ ban hành phương pháp tính khoản thu để làm căn cứ xử phạt. Đối với hành vi chuyển dữ liệu cá nhân xuyên biên giới trái phép, mức phạt có thể lên tới 5% doanh thu của năm trước. Trong trường hợp không có doanh thu hoặc mức phạt tính ra dưới 3 tỷ đồng, thì áp dụng mức phạt tối đa là 3 tỷ đồng. Các hành vi vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân sẽ bị phạt tối đa 3 tỷ đồng với tổ chức, và 1/2 mức đó đối với cá nhân.

Một điểm đáng chú ý là Luật dành riêng các quy định bảo vệ dữ liệu cá nhân của các nhóm yếu thế như trẻ em, người mất hoặc hạn chế năng lực hành vi dân sự, người gặp khó khăn trong nhận thức và làm chủ hành vi.

Đối với dữ liệu nhạy cảm như dữ liệu vị trí, sinh trắc học, Luật yêu cầu phải áp dụng biện pháp bảo mật nghiêm ngặt, hạn chế quyền truy cập, đồng thời có cơ chế thông báo cho chủ thể dữ liệu khi xảy ra sự cố.

Quản lý chặt chẽ việc xử lý và chuyển dữ liệu

Tổ chức, cá nhân muốn chuyển dữ liệu cá nhân xuyên biên giới bắt buộc phải lập hồ sơ đánh giá tác động và gửi cho cơ quan chuyên trách trong vòng 60 ngày kể từ ngày chuyển dữ liệu. Quy định này nhằm đảm bảo quản lý nhà nước trong lĩnh vực nhạy cảm nhưng vẫn tạo điều kiện linh hoạt cho doanh nghiệp, khi không yêu cầu xin phép trước.

Bên cạnh đó, các hoạt động sử dụng dữ liệu cá nhân trong các lĩnh vực đặc thù như: tuyển dụng lao động, quảng cáo, mạng xã hội, trí tuệ nhân tạo, điện toán đám mây, tài chính – ngân hàng, bảo hiểm, ghi âm – ghi hình nơi công cộng… cũng đều được điều chỉnh bởi các điều khoản cụ thể trong luật.

Để hỗ trợ môi trường kinh doanh, Luật cũng quy định miễn trừ nghĩa vụ lập hồ sơ đánh giá tác động đối với doanh nghiệp nhỏ, siêu nhỏ, doanh nghiệp khởi nghiệp và hộ kinh doanh, trừ khi các đối tượng này hoạt động trong lĩnh vực xử lý dữ liệu cá nhân, dữ liệu nhạy cảm hoặc xử lý dữ liệu với quy mô lớn.